我想要完成以下任务:用户不得具有在其桌面、我的文档、我的音乐、我的视频、我的图片等上保存内容的权限。
我已经通过 GPO 阻止并隐藏了所有驱动器。但是,用户仍然可以在上面列出的位置存储文件。
服务器操作系统:Windows Server 2008 R2
客户端操作系统:Windows XP、Windows Vista 和 Windows 7
答案1
如果您使用的是 Windows Server 2008,那么这非常简单。
- 创建组策略对象,转到
Computer Configuration
>Policy
>Windows Settings
>Security Settings
>File System
- 右键单击并添加
%userprofile%\Desktop
....等等,以添加您想要限制访问的不同文件夹。 - 为用户或用户组指定指定文件夹的权限。
答案2
使用登录脚本可以实现这一点,但有点棘手,需要进行测试以确保它在目标环境中正常工作。它对 ACL(系统、管理员和用户)中的 ACE 条目做出假设,并且假设用户是所有者(通常都是所有者)。它不是万无一失的安全性,但它可以帮助最大限度地减少随意的“将 2 GB 的 iso 文件保存到漫游配置文件桌面文件夹”的情况。
概括地说,当用户登录时,在最后一个登录脚本的末尾,ACL 他们的桌面和其他位置,以便他们具有读取和执行权限。
在 logOFF 脚本中,将权限恢复正常。
在登录脚本开始时,还应该进行检查,以便在注销脚本失败的情况下将权限重置为正常。
有多种 ACL 工具可供使用:icacls、fileacl、setacl。
可以使用以下 PowerShell 语法确定正确的路径:
[Environment]::GetFolderPath("DesktopDirectory")
应该使用它来确保操作在重定向位置而不是本地位置执行。
要获取所有环境特殊文件夹位置的列表:
[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])
通常会返回:
桌面
程序
个人
MyDocuments
收藏
夹启动
最近
发送到
开始菜单
我的音乐
桌面目录
我的电脑
模板
应用程序数据
本地应用程序数据
InternetCache
Cookies
历史记录
CommonApplicationData
系统
程序
文件我的图片
CommonProgramFiles
请注意,有 Desktop 和 DesktopDirectory 特殊文件夹。
下面是使用 FileAcl 将用户的桌面文件夹设置为读取和执行的 PowerShell 命令示例:
$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)
&$exe $allArgs
要将文件夹设置为用户的修改权限,arg5 将是:
$arg5 =“ "" + $user + "
“” + “:RWXD”
答案3
这里有一个无需修改权限的解决方案。
SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
ThisPCPolicy
REG_SZ
Hide
这将隐藏另存为选项的桌面。
可以使用 GPO 部署此配置。
来源:
http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html
对于其余文件夹,其内容如下:
文件:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag
图片:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag
视频:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag
下载:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag
音乐文件夹:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag
桌面文件夹:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag